и и 


`Разминируем свой ко, 
_ чем искать уязви мо ст 
факты бозопасное 


| Илья Поляков. 
руководитель отдела анализа кода 
Апдага Зесшйу 

| | 


89-^ 


НР Возза 


$111$->МПО(); 


Обо мне 
° Руководитель отдела анализа кода РМСРрЯ 
. Апдага 5есигКу ЗЕСОКИУ 
. Также внедрял безопасную разработку в: 
. АПоп Тесппооду 9 А © Е 
. Промсвязьбанк 
. АВВУУ 


. Сертификаты 


Сегийеа ] АррИсаноп Уесигиу Епетеег 


М!сго5о 
СЕВТ!Е1ЕР 


АХТУКВЕ 5ЕСУЕТУ 


. ЕС-Соипсй Сепщеа АррйсаНоп Зесигу Епадтеег 


А$5ОС!АТЕ 


хх 


. МсгозоН Сепщеа Алтиге Зесищу Епатеег 


О чём будем говорить 


«Мины» — это не только уязвимости 


Кто и как «минирует» ваш исходный 
КОД 

Какие «мины» самые популярные 
Чем его «разминировать» 


системным образом на ранних 
стадиях цикла разработки ПО 


О чем НЕ будем говорить 


. О динамическом анализе (ШОАЗТ, 1АЗТ и прочий фаззинг) 
. О сканировании контейнеров 
. Об анализе 1аС (тНазгииге а$ Соае) 


. О гипите-инструментах: \\МАЕ (\!еб Аррисаноп Егема!) и ВАЗР (Рип-нте 
Аррйсаноп 5е!-Ргщесйоп) 


Источники проблем в исходном коде 


Команда 


разработки 


/ 
Н 
‚ уязвимый — Уязвимые 
| код опенсорсные 
1 
\ компоненты 
\ \ / 
\ ` — ° 
секреты в ` / код с 


открытом виде \ ! секретами 


.* 
. 
.* 
. 
. 
. 
.’ 


Репозитории свашим кодом 


. Секреты: пароли 
системных/тестовых учеёток, 
приватные ключи, АР|!-токены 


. Уязвимый код: ошибки 
разработчиков (потенциальные 
гегодау-уязвимости) 


° Уязвимые заимствования: 
опенсорсные библиотеки с 
известными уязвимостями 
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Свежий О\М/АЗР {ор-10 уязвимостей (все языки) 
2071 


2017 
А01:2017-1пуесноп А01:2021-Вгокеп Ассеб$ Сопиго] 
А02:2017-Вгокеп АшеписаНоп А02:2021-Сгурковгармс Еайиге 
А03:2017-5еп$ ме ба{а Ехрозиге >} А03:2021-песйоп 
(Мм) А04:2021-фпвесиге бери 
А05:2017-Вгокеп Ассез Сопиго] 22% А05:2021-бесигку МесопйвигаНоп 


А06:2021-У/пегаЫе ап Ом даед Сотропеп5 
А07:2021-ЧеписаНоп ап Ашлеписаноп РаЙигез 
(Мей; А08:2021-бой\маге ап бака |пергку РаПигез 


А09:2017-\) тв Сотропеп$ мА Кпоммп УшпегарИе$ МР" чак 1-бесигКу [орепр апа Мопкопие Райигес* 
А10:2017-пзиаепе орете & Мопкопие (М№ем/) А10:2021-Зегуег-У4е еде Рогрегу (5$8Е)* 


* Рот Ве Зугуеу 
р РНРРАоз5а 


Ореп Зоигсе \\у/пегаи\е$ рег Уеаг: 2009-2020 


10,000 ю9 гесог4$ | АспПуе геро$ ми Асйуе Ассоип{$ 


асйуе Аспуе 
Год гесог4$ геро$ ассоцг$ 


900м 70м 20М 


2500 


2009 2010 20И 2012 205 204 205 206 2017 2018 209 2020 


РНР уходит в отрыв 


Уитега6Ише$ т Тор Ргодгатити1д Гапдцацез: 2020 \5. 2019 


30% 


ВИ 2020 
М 2 


20% 


10% 


й_ Шн Ш 
-со @ © 


$, 
— 


Самые популярные уязвимости в опенсорсе 


По отчёту Мепа.ло (ех-\\Пцезоигсе) за 2020 год 


(РИр, С\МЕ-79 С\МЕ-89 СМЕ-352 
Х$5 50 песйоп Сго$$-5йе Вецие${ Гогдегу 


1 №279 — х5$ 


[пргорег 1при{ УайЧаНоп 


шгогтаНоп Ехрозиге 


СМЕ-89 5ОЕ т/есНоп 
Ра{Й Тгауегза! 
С\МЕ-352 С$КЕ 


Проблемы заимствованного кода 


ий Устаревшие версии с известными уязвимостями 


е Пока неизвестные уязвимости (но злоумышленникам 
проще найти их в открытом ПО) 


а Закладки 
е Компрометация учётки владельца репозитория 


@ Ргоез{маге 


е Лицензионный конфликт 


Проблемы собственного кода 


е Больше возможностей ошибиться (по сравнению с 
«крупноузловой» сборкой ПО) 


е Исправление уязвимостей часто затягивается 
е Неочевидно, как фиксить 


э При отсутствии чёткого ЭЁА по исправлению (надо 
пилить фичи!) 


э Когда уязвимость уже в проде (парадоксально, но факт) 
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Проблемы зашитых в код секретов 


в Отучить разработчиков не хардкодить пароли непросто 


г Пароли системных/тестовых учеток часто неуникальны и не 
меняются годами 


е Даже удалённый секрет останется в истории коммитов \С5 (и 
ЗАЗТ его не найдёт) 


® Код с секретами —> публичный репозиторий СКНиЬ —> 
злоумышленник 


Инструменты «разминирования» исходного кода 


Команда 


разработки 
# 
# 
Г м НЫ Детекторы «захардкоженных» 
` г 5 

| \ я секретов: нашёл, заблочил, 

’ уязвимый — Уязвимые и ны ри 
| код опенсорсные 

1 % ь 

р р, ны . ЗАЗТ: За с АррИсаНоп Зесигйу 
у 


[6 , р | 
, Тез\{та (статический анализ) 


\ ! 
секреты в \ й 
открытом виде \ ыы 
ыы \ . ЭСА: ЗоЙмаге Сотрозюп 


\ 
\ р . 
[боченс,зерятеонтя | \ =] Апа!уз1$ (ореп зоигсе зсаппд) 
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Репозитории свашим кодом 


Инструменты ЗАЗТ (айс АррИсаноп Зесищу Гето) 


е Импортные 
в оупорзу$ 
е \/егасоае 
е НСЕ 
® Спесктагх 
е Отечественные 
е Розщуе Тесппо|оче$ 
е Ростелеком Солар 
е Опенсорс 
е ОМ/АЗ$Р АЗЗТ 
е зетогер 


Инструменты ЗЭСА (ЗоНмаге Сотрозшоп Апа!у$!$) 


е Импортные 
е оупор$у$ 
в опук 
е Спесктагх 
е Отечественные 
в Содезсойпа 
е Опенсорс 
е Оерепдепсу {гаск 
е Оерепдепсу спеск 


«Глубокая очистка» кода от секретов 
НазСогр УацЁ 


_ Опенсорсные* _ 9, 
—\ СубегАгк Соп]лиг 


Команда еек секретов Уапаех Кеу Мапаветеп* 5ег\/се 
разработки Облачные в 
——_. 5БегСючца $есге{ Мапазег 


секреты 
у 


` 
\ 


\ 
Приложения 
открытом виде ! 
[ояжиевютюни] С 
> „7 
Репозитории с вашим кодом * есть ограничения при 
бесплатном использовании 


/ 
Ц 
1 
1 
1 
1 
1 
1 
1 
1 
1 
и 
\ 


секреты в 


Языком антивирусов 


Инструмент Функция Аналогия с 
антивирусами 
. Статический . Поиск уязвимостей . Эвристический 
анализ (ЗАЗ ТГ) в коде анализ 
. Компонентный . Поиск уязвимых . Сигнатурный 
анализ (5СА) компонентов анализ 


(не анализ кода!) 


. Динамический . Анализ реального . «Песочница» 
анализ (ШРАЗТ) поведения 
5 РНР Виза 
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Ручной анализ кода 


е Обнаружение «закладок» 
@ И свой, и заимствованный код 


Е Критические компоненты и 
потоки данных 


е Дорого 
е Человеческий фактор 


«Эту уязвимость невозможно найти снаружи» 


НОВОСТИ 


Компанию ШБег взломали. Хакер мог 


украсть исходные коды и 
информацию об уязвимостях 


Мария Нефёдова, 16.09.2022 ©> 2 комментария © 5787 
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Сканеры кода: рид’п’ргау? 


° Интеграция средств безопасности в 
конвейер разработки — дело нехитрое 


. Но нельзя просто воткнуть сканеры в 
пайплайн и расслабиться 


‚ Нужен кто-то, понимающий в 
эксплуатации уязвимостей 


Безопасность — это конкурс по копанию 


критичность 
уязвимости 


$спр\ 


ипюг каче 


маае ситта!$ 

Зепюг АРТ 
квалификация 

Арр5$ес-инженера тип атаки 


Скупой платит дважды 


° Безопасность — удовольствие не из 
дешевых 


. Её отсутствие еще дороже (и чревато 
неудовольствием) 


и 
7 


/Голосуите за доклад: 


В 7 


’ Илья Поляков! 
_ | Т@евгат: @Е_Ми_На 


РНР воза 


= \ ‚2022 © у 


